Jyväskylän kirjastolla pitämäni luento tunnistautumisen perusteista. Luennolla käsitellään lyhyesti aiheita kuten mm. miksi tunnistautua, anonyymi internet, digitaalinen identiteetti, ja hakkeroitu Google-tili.
1. Tunnistautuminen
Luennolla puhutaan tietolaitteiden henkilökohtaisen käytön
tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan
laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä
käytännössä riittävän turvalliset tavat tunnistautua.
3. Luentoja tietotekniikasta
•Tunnistautuminen liittyy henkilökohtaisen
käytön tietoturvaan (tunnistautuminen,
järjestelmä, tiedot).
Lisätietoa: tvtkoulu.fi/tietoturva
•Luento sekä muut aiheeseen liittyvät luennot
ovat verkossa SlideShare-palvelussa (tvtkoulu).
4. Tunnistautumisen määrittelyä
•Tietokone ei yleensä osaa vastata sopivalla
tavalla, kun sille puhutaan:
Hei tietokone, haluaisin katsoa sähköpostini ja maksaa
laskut.
•Koneelle (palvelulle) täytyy kertoa täsmälleen,
kuka pyyntöjä esittää.
•Yleensä: Tunnistautuminen = Kirjautuminen
5. Singer & Friedman (2014)
”Hyvä tietoturva on mahdollinen
vain silloin, kun järjestelmä voi
luottaa käyttäjiin ja toisaalta
käyttäjät voivat luottaa
järjestelmään.”
6. Digitaalinen identiteetti
•Identifiointi eli käyttäjän tunnistaminen, "kuka
olet?”. Käyttäjätunnus on sähköpostiosoite,
tunnusosa tai jokin muu:
riku@tvtkoulu.fi, riku, RikuJ, 82924921
•Autentikointi eli digitaalisen identiteetin
varmennus, "osoita, kuka olet”. Yleensä
salasana eli merkkijono:
Jsl(2lsk, Ankka2Grill8Mic, …
Identifiointi (tunnistaminen) + autentikointi (todennus)
7. Singer & Friedman (2014)
”Digitaalinen identiteetti
on tasapainoilua tiedon
suojelemisen ja jakamisen
välillä.”
8. Miksi tunnistautua?
•Henkilökohtaisen tiedon käyttö ja säilytys
verkossa vaativat tunnistautumisen
(synkronointi).
valokuvat, yhteystiedot, kalenteri,…
•Vuorovaikutteisuus, kuten
asioiden hoitaminen (posti, vero, poliisi, pankki)
viestintä, verkkokaupat, tiedonhaku
viihdepalvelut (Yle Areena, Spotify,…)
Henkilökohtaiset tiedot, vuorovaikutteisuus
9. Anonyymi internet?
•Ilman digitaalista identiteettiä verkon käyttö
rajoittuu merkittävästi, mm.
tiedonhaku, surffailu, tiedostojen lataaminen,…
•Facebook käyttö anonyyminä?
•Ratkaisuja mm.
Linux, Tor-verkko sekä erillinen Internet-selain
Toinen identiteetti, joka pidetään erillisenä todellisesta
digitaalisesta identiteetistä.
Surffailua Linuxilla Tor-verkossa, erillinen identiteetti,…
11. Mobiililaitteet
• Mobiililaite sisältää mahdollisesti eniten
henkilökohtaista tietoa käyttäjästä, mm.
yhteystiedot, kalenteri, valokuvat, pikaviestimet,...
• Käyttäjä on jatkuvasti kirjautuneena palveluihin.
• Lukitusnäyttö (+salaus) suojaa laitteen. Vahvuus tulee
olla vähintään tasoa nelinumeroinen PIN-koodi.
Lukitusnäyttö PIN-koodilla suojattuna
12. Windows
•Windows 8:sta eteenpäin kirjaudutaan suoraan
Microsoft-tilille. Osa palveluista (OneDrive),
ovat käyttäjäkohtaisia.
•Koneen salasanan voi korvata PIN-koodilla
Windowsin asetuksista.
•Kiintolevyn salaus – BitLocker (Windows Pro)
Kirjautuminen PIN-koodilla omalle Windows-tilille
14. Avoin langaton verkko on turvaton!
•Avoimessa WLAN-verkossa tiedon kaapannut taho
voi lukea sisällön ilman merkittäviä esteitä.
•Huijausverkon luonut laite voi tarkkailla
liikennettä ja tallentaa käyttäjätunnuksia &
salasanoja käyttäjän huomaamatta mitään.
•Sivustoille, jotka vaativat tunnistautumista, tulee
avoimissa verkoissa käyttää VPN-yhteyttä.
Verkossa liikkuva tieto ei ole salattua, käytä VPN-yhteyttä
16. VPN-yhteyksistä
• VPN (virtual private network) on kokoelma
tekniikoita, joilla laite yhdistetään turvallisesti
verkkoon.
• VPN mahdollistaa mm.
Verkkoliikenteen seurannan estämisen
Turvallisen käytön avoimissa langattomissa verkoissa
Joskus maantieteellisesti rajoitetun sisällön käytön.
• Esimerkiksi TunnelBear VPN tai F-Secure Freedome.
Turvallinen ”tunneli” epämääräisen Internetin läpi
17. Kotiverkko
•Verkkolaitteelle (reititin) kirjautumisen salasana
tulee muuttaa oletuksesta (admin, root, [tyhjä]).
•Reitittimelle kirjaudutaan selaimen osoitekentässä
IP-osoitteella, joka yleensä muotoa 192.168.1.1 tai
vastaavaa.
•Langattoman kotiverkon salasana tulee muuttaa
(usein verkkolaitteen pohjassa oleva numerosarja).
Reitittimen salasana sekä WLAN-salasana kannattaa vaihtaa
19. Miksi palveluihin tunnistaudutaan?
• Palvelu voi
Säilyttää ja käsitellä henkilökohtaista tietoa
Toimia yhteyskanavana ihmisiin tai palveluntarjoajiin.
• Henkilökohtaisuus saavutetaan tunnistautumalla.
• Esimerkiksi
Omakanta - sähköiset reseptit
Facebook - ystävät, tutut, keskusteluryhmät
Henkilökohtaiset tiedot, vuorovaikutteisuus
20. Singer & Friedman, Bazzell,
Mitnick,…
”Jokaisella palvelulla on
oltava yksikäsitteinen
salasana.”
21. Miksi yksikäsitteiset salasanat?
•Käyttäjä ei tiedä, kuinka palveluntarjoaja tallentaa
salasanoja. Ne voivat olla jopa tekstitiedostossa
ilman salausta.
•Jos käyttäjällä on sama salasana eri palveluissa,
yhden palvelun hakkerointi voi haitata muiden
palveluiden käyttöä.
Palveluntarjoaja voi mokata tietoturvan
22. Hakkeroitu Google-tili 1/2
Antti käyttää Googlea ja hänellä on heikko salasana.
Hakkeri kaappaa tilin ja voi tehdä alkuun seuraavaa:
• Estää Anttia käyttämästä tiliä vaihtamalla salasanan.
• Jakaa /poistaa palvelussa olevat tiedot, lähetellä
sähköposteja ja pikaviestejä sekä käsitellä Antille jaettuja
tietoja.
• Kokeilla tunnuksia muihin palveluihin ja kenties kaapata
myös Facebookin, Twitterin, Instagramin,….
Mitä voi tapahtua, kun hakkeri iskee pilveen?
23. Hakkeroitu Google-tili 2/2
Hakkeri voi joskus käydä todella ärsyttäväksi:
• Perustaa Antin nimissä blogin ja liittää kirjoituksiin
Antin valokuvia tai muuta sisältöä pilvestä.
• Haukkua ihmisiä ”Anttina” keskustelupalstoilla,
joille kirjautuminen tapahtuu Googlen tunnuksilla.
• Jos Antilla on luottokortti lisättynä tiliin, ostaa
mm. sovelluksia ja e-kirjoja sekä vuokrata elokuvia
(mobiili).
Mitä voi tapahtua, kun hakkeri iskee pilveen?
24. Käyttäjätunnuksien hallinnasta
•Käyttäjätunnus on yleensä oma sähköpostiosoite.
Samaa tunnusta voi käyttää eri palveluissa.
•Sähköpostiosoitteet ovat usein julkisia. Osoitteita
ei merkitä verkkosivulle kuin erikoismuodossa:
riku [ät] tvtkoulu.fi
•Käyttäjätunnukset tallennetaan digitaaliseen
muistikirjaohjelmaan (OneNote tms.) allekkain.
Sama käyttäjätunnus useaan palveluun, digimuistikirjat
25. Salasanarunko
• Keksi salasanarunko eli hauska ja persoonallinen
ilmaus, jonka muistat varmasti. Esimerkiksi:
Ankka2Grill8
• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun
nimestä.
• Esimerkiksi palvelulle Gmail salasana on:
Ankka2Grill8 + Gma => Ankka2Grill8Gma
Turvallinen tapa käyttää useita palveluita
26. Rungon turvallisuudesta
•Runko vähintään suojaa käyttäjää tilastollisilta
tietoturvahyökkäyksiltä, jotka ovat leijonanosa
kaikista hyökkäyksistä.
•Tämä ei aina riitä, jos käyttäjään tehdään
kohdistettuja tietoturvahyökkäyksiä.
•Salasanarunko on helpohko muistaa sekä
helpottaa myös uusien salasanojen keksimistä.
Riittää hyvin peruskäytössä
27. Salasanojen hallintaa
• LastPass tallentaa käyttäjän salasanat suojattuun
tietokantaan. Pääsalasanalla kirjaudutaan palveluun.
• Selaimen lisäosana Lastpass täydentää salasanat
automaattisesti, jolloin käyttäjä vain hyväksyy
kirjautumisen.
• Lastpass tarjoaa myös testin, joka varmistaa
salasanojen yksikäsitteisyyden ja turvallisuuden.
Pääsalasana on avain palveluiden käyttöön
28. Kaksivaiheinen vahvistus
•Useat toimijat (mm. Apple, Google, Microsoft)
antavat käyttäjälle mahdollisuuden
kaksivaiheiseen todennukseen.
•Kun tilille kirjaudutaan uudella laitteella, lähettää
palvelu käyttäjän puhelimeen tekstiviestillä
vahvistuskoodin, joka näppäillään ruudulle.
•Kaksivaiheinen vahvistus otetaan käyttöön
palvelun asetuksista verkossa.
Aktivoi 2-vaiheinen vahvistus tärkeimmissä palveluissa
29. Viralliset palvelut
• Virallisiin asiointiväyliin tunnistaudutaan tyypillisesti
verkkopankin tunnuksilla. Muita vaihtoehtoja ovat
poliisin myöntämä sirullinen henkilökortti sekä
mobiilivarmenne.
• Yhteydet verkkopankkiin ovat kaksinkertaisesti
salattuja eli viestintäkanava on salattu, kuten myös
lähetettävän viestin sisältö. Lisäksi käytetään
kaksivaiheista vahvistusta (tunnusluvut).
Verkkopankkitunnuksilla
30. Turvakysymyksistä
• Useat palvelut sallivat unohtuneen salasanan
palautuksen turvakysymyksiin vastaamalla. Esimerkki:
Mistä kaupungista olet kotoisin?
• Kysymykset voivat olla tietoturvariski, jos vastaukset
ovat yleisessä tiedossa tai selvitettävissä netistä.
• Ratkaisu on valehdella tietokoneelle. Edelliseen
turvakysymykseen voi vastata:
Ankka2Grill
Vastaa jotain, mikä ei pidä paikkaansa
31. Salasana unohtunut?
•Sähköpostiosoite ja sen salasana tulee muistaa!
•Useille palveluille voi antaa puhelinnumeron, jota
käytetään todennuksessa (autentikointi).
•Googlen salasanan palauttamiseksi löytyvät
ohjeet kirjoittamalla hakuun Google reset password,
vastaavasti muille.
Nollaaminen onnistuu usein sähköpostilla
32. Palvelut erilleen!
•Palvelut kuten Spotify ja Netflix sallivat
kirjautumisen Facebook-tunnuksilla.
•Facebook-tunnuksilla Spotify-palveluun
kirjautuminen saattaa julkaista jokaisen
kuunnellun kappaleen omalla FB-aikajanalla
(riippuu asetuksista).
Yksityisyyden hallinta säilyy paremmin
34. Tunnistautumisen avainsanoja
• Laitteet
Pääsykoodi, PIN tai sormenjälki, salaus (kryptaus)
• Verkot
Avoin WLAN, VPN, kotona reitittimen ja verkon salasana
• Palvelut
Sähköpostiosoite ja salasana, salasanarunko ja / tai
salasanojen hallinta, kaksivaiheinen vahvistus,
turvakysymykset, erilliset palvelut
Kiinnitä huomiota seuraaviin